La Ingeniera Social: El Arte del Engao El principio en el que se sustenta la Ingeniera Social es aquel que afirma que en cualquier

sistema los usuarios y el personal son el eslabn dbil de la cadena. En la prctica, un Ingeniero Social utiliza comnmente el telfono o internet para engaar a gente simulando, por ejemplo, ser un empleado de un banco o de una empresa, un compaero de trabajo, un tcnico o un cliente y as obtener informacin de una persona o empresa.

En otras palabras, es el arte de persuadir con engao para que casi sin darse cuenta, los afectados compartan datos vitales con un desconocido. De acuerdo a Christopher Hadnagy en su libro Ingeniera Social el Arte del Hacking Personal se define a la Ingeniera Social como El acto de manipular a una persona para que lleve a cabo una accin que -puede ser o no- lo ms conveniente para cumplir con cierto objetivo. Este puede ser la obtencin de informacin, conseguir algn tipo de acceso o logar que se realice una determinada accin. Por ejemplo, los mdicos, los psiclogos y los terapeutas a menudo utilizan elementos que se consideran de Ingeniera Social para manipular a sus pacientes para que realicen acciones que son buenas para ellos, mientras que un estafador utiliza elementos de la Ingeniera Social para convencer a su vctima para que realice acciones que le perjudican. Aunque el resultado es muy diferente, el proceso puede ser muy parecido. Otras definiciones de ingeniera Social: La Ingeniera Social es mentir a la gente para obtener informacin. La Ingeniera Social es ser un buen actor. La Ingeniera Social es saber cmo conseguir cosas gratis. Wikipedia la define como el acto de manipular a la gente para llevar a cabo acciones o divulgar informacin confidencial. Aunque parecido a una estafa o un simple fraude, el trmino se aplica normalmente a las artimaas o engaos con el propsito de obtener la informacin, llevar a cabo un fraude o acceder a un sistema informtico; en la mayora de los casos, el atacante nunca se enfrenta cara a cara con la vctima.

Marn N 0586 Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10 Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl

El diccionario de Webster define social como relativo o perteneciente a la vida, el bienestar y las relaciones de los seres humanos en una comunidad. Tambin define la ingeniera como el arte o la ciencia de llevar a aplicacin prctica el conocimiento de las ciencias puras como la fsica o la qumica, en la construccin de mquinas, puentes, edificaciones, minas, embarcaciones y plantas qumicas o artilugios ingeniosos; maniobrar. Combinando ambas definiciones se puede ver fcilmente que la Ingeniera Social es el arte, o mejor an, la ciencia, de maniobrar hbilmente para lograr que los seres humanos acten de cierta forma en algn aspecto de sus vidas. La Ingeniera Social es utilizada en la vida diaria, por ejemplo, en la manera en que los nios consiguen que los padres atiendan a sus peticiones. Es utilizada por los profesores en el modo de interactuar con sus estudiantes y por los doctores, abogados o psiclogos para obtener informacin de sus pacientes o clientes. En definitiva, es utilizada en cualquier interaccin humana, desde los nios hasta los polticos. La Ingeniera Social no es una accin resuelta, sino una recopilacin de las habilidades que, cuando se unen, componen la accin, el ingenio y la ciencia a la cual se le llama Ingeniera Social. De la misma manera, una buena comida no es slo un ingrediente, sino que se crea con la mezcla cuidadosa de varios ingredientes. Podra decirse que un buen Ingeniero Social es como un chef. La Ingeniera Social y su lugar en la sociedad La Ingeniera Social puede utilizarse en muchas facetas de la vida, pero no todos estos usos son maliciosos o negativos. Muchas veces la Ingeniera Social puede utilizarse para motivar a una persona para realizar una accin que es buena para ella: Cmo? Piense en esto: Juan necesita perder peso. Sabe que su salud es mala y que tiene que hacer algo al respecto. Todos los amigos de Juan tienen sobrepeso tambin. Incluso hacen chistes sobre las alegras de tener sobrepeso y dicen cosas como me encanta no tener que preocuparme por mi figura. Por una parte, esto es un aspecto de la Ingeniera Social. Es
Marn N 0586 Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10 Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl

una prueba social o consenso, donde lo que se considera aceptable est determinado por quienes estn alrededor. Sin embargo, si uno de los amigos de Juan pierde peso y en vez de criticar a los dems decide intentar ayudarlos, existe la posibilidad de que cambie la estructura mental de Juan sobre su peso y empiece a pensar que adelgazar es posible y bueno para l. Esto es, en esencia, Ingeniera Social. A continuacin, otros ejemplos: 1.- El Timo 419: Llamado tambin la Estafa Nigeriana, se lleva a cabo principalmente por correo electrnico no solicitado. Adquiere su nombre del nmero de artculo del cdigo penal de Nigeria que viola, ya que buena parte de estas estafas provienen de ese pas. Si recibe algo de correo basura, con mucha seguridad ya debe haber recibido un e-mail en ingls donde la explica que cierto funcionario que tiene acceso a unos fondos acumulados pero que tiene problemas para efectuar l mismo la operacin, porque se trata de fondos secretos y como tiene que sacarlo de Nigeria lo ms rpido posible, entonces ofrece una compensacin fuera de lo comn. Los defraudadores profesionales ofrecen transferir millones de dlares a su cuenta bancaria a cambio de un pequeo cargo. Si usted responde al ofrecimiento inicial, es posible que reciba documentos que parecen ser oficiales. Entonces, generalmente se le pide que provea los nmeros de sus cuentas bancarias y una serie de informacin de carcter privado para hacer efectivo el traspaso. Por increble que parezca, en el ao 2001 alrededor de 2.600 ciudadanos fueron vctimas de esta estafa, con una prdida de ms de $300.000 dlares. 2.- Robo de empleados: El tema de robo de empleados puede llenar volmenes enteros. Ms del 60% de los empleados entrevistados admitieron haber tomado informacin de algn tipo de sus empleadores. Muchas veces esta informacin se vende a la competencia. Otras veces, lo que roban los empleados es tiempo o recursos; en algunos casos, un empleado descontento puede causar mucho dao.
Marn N 0586 Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10 Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl

Caso: Cierta empresa consideraba que todo el mundo all era parte de la familia y que no era necesario aplicar polticas de despido de empleados. Desgraciadamente lleg el da de despedir a uno de los directivos de ms alto rango de esta empresa. El despido fue amigable y el directivo fue comprensivo. Una cosa que la empresa hizo correctamente fue llevar el despido a la ltima hora de la jornada para evitar el bochorno o cualquier tipo de distraccin. Hubo un apretn de manos y entonces el ex directivo hizo la fatdica pregunta: Puedo tomarme una hora para limpiar mi mesa y sacar algunas fotos personales del computador? Al tener buenas sensaciones despus de la reunin todos estuvieron rpidamente de acuerdo y se fueron entre alegres sonrisas. Entonces el ex directivo se fue a su despacho, empaquet sus objetos personales, sac las fotos y otros datos de su computador, se conect a la red y limpi el equivalente a 11 servidores en informacin: registros de contabilidad, nminas, facturas, rdenes, historiales, grficos y mucho ms, todo borrado en cuestin de minutos. El ex directivo abandon el edificio sin dejar pruebas de que l fue quien llev a cabo este ataque. Un empleado descontento al que se deja actuar libremente puede ser ms devastador que un equipo de hackers decididos y experimentados. La prdida estimada slo en empresas de Estados Unidos por robos de empleados es del orden de 15.000 millones de dlares. 3.- Phishing: Un ataque muy simple pero efectivo es engaar al usuario llevndolo a pensar que un administrador del sistema le est pidiendo una contrasea para propsitos legtimos. Quienes navegan en internet frecuentemente reciben mensajes que solicitan contraseas o informacin de su tarjeta de crdito con el motivo de crear una cuenta, reactivar una configuracin u otra operacin aparentemente inofensiva. A este tipo de ataques se lo llama phishing. Los usuarios de estos sistemas deberan ser advertidos temprana y frecuentemente para que no divulguen contraseas u otra informacin sensible a personas que dicen ser administradores.

Marn N 0586 Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10 Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl

4.- Spoofing: Tcnicas de suplantacin de identidad en la red generalmente con usos maliciosos. Por ejemplo, a fuerza de haber sufrido virus gracias a correos engaosos, bloqueos de casillas a causa del spam y otras delicias, muchos usuarios slo chequean el correo electrnico proveniente de remitentes conocidos y seguros. Esta (ltima) opcin tambin se ve amenazada gracias al spoofing, tcnica que puede engaar a cualquier usuario enviando e-mails de todo tipo (propaganda, agitacin poltica, etc.) bajo la mscara de una direccin segura de un remitente conocido. En este caso, alguien se apropia del nombre y la contrasea de una direccin de correo y la utiliza para enviar correo masivo preferentemente a las personas que no dudaran en abrir una mensaje proveniente de esa direccin (dato fcilmente extrable de la lista de correo). Los distintos tipos de Ingenieros Sociales La Ingeniera Social puede adoptar muchas formas. Como lo habamos dicho anteriormente, Puede ser maliciosa o amigable puede crear o destruir. Es por ello que existen diferentes tipos de Ingenieros Sociales: Hackers. Probadores de seguridad. Espas. Ladrones de identidad. Empleados descontentos. Artistas del timo. Agentes de recursos humanos. Vendedores. Gobiernos: No siempre son vistos como Ingenieros Sociales, pero los gobiernos utilizan la Ingeniera Social para controlar el mensaje que envan a las personas que gobiernan. Mdicos, Psiclogos, Abogados.
Marn N 0586 Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10 Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl

Parece que se puede encontrar la Ingeniera Social o algn aspecto de ella en cualquier campo. Por eso, se sostiene firmemente que la Ingeniera Social es una ciencia. El Entorno Conceptual de la Ingeniera Social y Cmo Utilizarlo El conocimiento es poder, cierto. En este sentido, la formacin es la mejor defensa contra la mayora de los ataques de Ingeniera Social. Incluso en aquellos contra los que el conocimiento no puede protegerle al100%, conocer en detalle estos ataques le mantendr alerta. La formacin puede ayudarle a mejorar sus propias habilidades y a estar vigente. No obstante, adems de formacin, necesita prctica. Recopilar Informacin Se dice que no hay informacin irrelevante. En trminos de Ingeniera Social, hasta el menor detalle puede conducir a una brecha beneficiosa para el xito de sus propsitos. Caso: Se desea acceder a una empresa que apenas tiene rastro en internet. Ya que la empresa tiene muy pocas vas por las que penetrar, conseguir acceder a ella constituye un autntico reto. Primero se comenz barriendo Internet en busca de algn detalle que conduzca a un camino de entradas. En una de las bsquedas se localiz a un alto directivo de la empresa que utilizaba su correo electrnico corporativo en un foro de coleccionista de sellos. Rpidamente, el recopilador registr una URL similar a www.stampcolletion.com y busc unas cuantas fotos de sellos antiguos en Google. Cre un sencillo sitio web para mostrar su coleccin de sellos y despus envi un correo electrnico al directivo de la empresa: Estimado Seor: He visto en www.forum.com que le interesan los sellos de los aos cincuenta. Mi abuelo falleci recientemente y me dej una coleccin

Marn N 0586 Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10 Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl

de sellos que me gustara vender. He creado un sitio para tal efecto. Si quisiera ver la coleccin, visite por favor www.stampcollection.com. Antes de enviar el correo electrnico al objetivo, quera asegurarse de lograr el mximo impacto. Consigui el nmero de telfono del directivo a travs del foro y le dej un mensaje en el buzn de voz: Buenos das seor. Vi su mensaje en www.forum.com. Mi abuelo acaba de fallecer y me ha dejado unos cuantos sellos de los aos 50 y 60. He hecho unas fotos y he creado un sitio web. Si est interesado puedo enviarle un vnculo para que eche un vistazo. El directivo estaba ansioso por ver la coleccin y acept de buena gana el correo. El recopilador de informacin le envi el correo y esper que hiciera un clic en el vnculo. Lo que hizo el recopilador, fue incrustar un marco malicioso en el sitio web. Este marco contena un cdigo que explotara una vulnerabilidad, muy conocida entonces, del navegador Internet Explorer y dara al recopilador control sobre todo el computador del directivo. La espera no dur mucho tiempo. En cuanto el directivo recibi el correo, hizo clic en el vnculo poniendo a su empresa en peligro. Una minscula cantidad de informacin (el correo electrnico que utilizaba el directivo para buscar sellos) fue lo que condujo a la situacin de peligro. Ninguna informacin es irrelevante. Con esa idea en mente, surgen algunas preguntas en relacin a la recopilacin de informacin: Cmo se puede recopilar informacin? Qu fuentes de recopilacin de informacin existen para Ingenieros Sociales? Qu puede deducir de esos datos para retratar a sus objetivos? Cmo puede localizar, almacenar y catalogar informacin para facilitar su utilizacin? toda esta

Un rea excelente para la recopilacin de informacin es la de ventas. Los vendedores suelen ser muy habladores y fciles de tratar suelen ser muy buenos reuniendo informacin sobre aquellos con quienes interactan.
Marn N 0586 Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10 Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl

Recopilar informacin es como construir una casa. Si intenta empezar por el tejado, lo ms probable es que fracase. Una buena casa se construye empleando unos cimientos slidos y edificando a partir de ah, del suelo hacia arriba. Al recopilar informacin una persona puede sentirse abrumada intentando organizar y utilizar el material, por lo que es buena idea crear un archivo o iniciar una aplicacin de recopilacin para reunir datos. Existen muchas herramientas que ayudan a recopilar y utilizar la informacin. Para realizar pruebas de seguridad y auditoras de Ingeniera Social es recomendable la utilizacin de una distribucin de Linux llamada BackTrack especficamente diseada con este propsito. BackTrack, como casi todas las distribuciones de Linux, es de software libre y fuente abierta. Quizs su mayor ventaja sea que contiene ms de 300 herramientas diseadas para ayudar en auditoras de seguridad. Dos instrumentos de BackTrack especialmente tiles para recopilacin y almacenaje de informacin son Dradis y BasKet. la

Para un Ingeniero Social, reunir informacin es la clave de cada actuacin, pero si no se puede recuperar y utilizar informacin rpidamente, entonces resulta intil. Una herramienta como BasKet hace que guardar y utilizar datos sea muy sencillo. Aunque BasKet es una gran herramienta, si hace mucha recopilacin de informacin o si trabaja en equipo y necesita reunir, guardar y utilizar los datos, entonces es importante tener una herramienta que permita compartir la informacin por varios usuarios. Esta herramienta es Dradis. Este programa es una aplicacin web independiente que proporciona un almacn centralizado de la informacin que se ha reunido y un medio a partir del cual planificar los siguientes pasos. Pensar como un Ingeniero Social Caso: En una ocasin arrend un auto para hacer un viaje de negocios. Mi acompaante y yo cargamos nuestro equipaje en el maletero; cuando entramos en el auto reparamos en una pequea bolsa de basura que haba atrs. La persona que iba conmigo dijo: Este servicio va de mal
Marn N 0586 Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10 Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl

en peor. Se supone que por lo que pagamos podran al menos limpiar el coche. Es cierto, sera lgico, pero antes de que tirara la bolsa al basurero ms cercano, dije: Djame echar un vistazo rpido. Cuando abr la bolsa y apart los envoltorios lo que encontr all, me pareci a simple vista impactante: era la mitad de un cheque partido. Inmediatamente volqu el contenido de la bolsa y encontr un recibo del banco y la otra mitad del cheque. Una vez pegado con cinta, el cheque revelaba el nombre de la persona, la empresa, su nmero de telfono, nmero de cuenta bancaria y el cdigo de identificacin bancaria. Por suerte para el propietario de estos datos, no soy una mala persona porque slo se necesitan un par de pasos ms para cometer un robo de identidad. Esta historia personifica la relacin que tiene la gente con su informacin valiosa. Esta persona que arrend el auto antes que yo y despus, al tirar el cheque, estaba convencido de que lo que haba hecho desaparecer de forma segura. Fuentes de Recopilacin de Informacin Existen muchas fuentes diferentes de recopilacin de informacin. La siguiente lista no puede abarcar todas las posibilidades existentes, pero perfila las opciones ms importantes. 1.- Recopilar Informacin de los sitios web Los sitios web personales o corporativos pueden proporcionar una gran cantidad de informacin. Lo primero que har normalmente un buen Ingeniero Social es reunir todos los datos que pueda del sitio web de la persona o de la empresa. Dedicarle tiempo al sitio web puede llevarle claramente a: Lo que hacen. Los productos y servicios que ofrecen. Las localizaciones fsicas. Las ofertas de puestos de trabajo.

Marn N 0586 Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10 Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl

Los nmeros de contacto. Las biografas de los ejecutivos o del consejo administrativo. El foro de apoyo. La nomenclatura de los correos electrnicos. Palabras o frases especiales que pueden ayudar a determinar contraseas.

2.- Servidores Pblicos Los servidores pblicos de una empresa tambin son buenas fuentes de la informacin que sus sitios web no proporcionan. Las direcciones IP pueden decir si los servidores estn alojados localmente o con un proveedor, con los registros de DNS puede determinar nombres y funciones de servidores y direcciones IP. 3.- Redes Sociales Muchas empresas han empezado a interesarse por las redes sociales. Es publicidad barata que llega a un gran nmero de clientes potenciales. Tambin es una nueva corriente de informacin de una empresa que puede proporcionar algunos datos tiles. Caso: El presidente de Hewlett- Packard revel ms que su jerarqua laboral cuando mencion la iniciativa de almacenamiento en la web de la firma fabricante de computadoras en su perfil de LinkedIn. En un descuido, alert a sus competidores sobre detalles que no se haban difundido antes respecto de los servicios de cloud computing de la marca. La informacin se retir ms tarde, si bien no antes de que los rivales pudieran ver los planes. Conforme los empleados brindan ms informacin online sobre su vida, desde actualizaciones sobre su situacin, controles de ubicacin y cambios en el currculum, los empleadores corren ms riesgos de que los competidores observen todos sus movimientos.

Marn N 0586 Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10 Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl

En una encuesta de Forrester Research del ao pasado entre ms de 150 compaas que monitorean medios sociales, ms del 82% expres que usaba esos datos para inteligencia competitiva. 4.- Sitios de usuarios blogs y otros Los sitios de usuarios como los blogs, wikis y videos online no solo pueden proporcionar informacin sobre la empresa objetivo, sino que tambin ofrecen una conexin ms personal a travs del contenido subido por el usuario. Un empleado descontento que est hablando en su blog sobre sus problemas en la empresa, puede ser susceptible de compartir informacin privilegiada que cualquiera puede ver y leer. Un buen ejemplo es esta web www.icanstalku.com Al contrario de lo que indica su nombre puedo acosarte, no anima a la gente a acosar a otros. Este sitio pone de manifiesto el total descuido de muchos usuarios de Twitter. Rastrea el sitio de Twitter y busca usuarios que son tan imprudentes como para colgar fotos hechas con sus telfonos Smartphone. Mucha gente no sabe que la mayora de los Smartphone incrustan datos de localizacin en sus fotos. Cuando un usuario cuelga una foto en la web con esta informacin incrustada, puede conducir a una persona hasta su localizacin. Fuente: Ingeniera Social. El Arte del Hacking Personal, Christopher Hadnagy. Ethical hacking, las tcnicas de los hacker al servicio de la seguridad, Manuales Users. Diario La Segunda, Edicin Lunes 26 de Septiembre de 2011.

Marn N 0586 Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10 Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl